Microsoft ha inaugurado 2026 con un Patch Tuesday de gran alcance, corrigiendo 114 vulnerabilidades de seguridad en Windows, Office y componentes relacionados. El paquete incluye tres fallos 0‑day (vulnerabilidades explotadas o divulgadas antes de que exista parche), una de ellas activamente utilizada en ataques, y ocho fallos críticos que permiten ejecución remota de código o elevación de privilegios.
Patch Tuesday enero 2026: prioridades de las vulnerabilidades en Microsoft
Según la clasificación oficial de Microsoft, las 114 vulnerabilidades se reparten en: 57 de elevación de privilegios, 22 de ejecución remota de código (RCE), 22 de divulgación de información, 5 de suplantación de identidad (spoofing), 3 de evasión de mecanismos de seguridad y 2 de denegación de servicio (DoS).
Este reparto refleja un patrón consolidado en el panorama de amenazas: en muchos incidentes, los atacantes logran primero un acceso limitado (por ejemplo, a través de phishing o explotación de servicios expuestos) y, a continuación, encadenan vulnerabilidades de elevación de privilegios y bypass de seguridad para obtener control total del sistema. Esta combinación es habitual en campañas de ransomware y operaciones de ciberespionaje dirigidas.
0‑day CVE-2026-20805 en Desktop Window Manager: filtración de memoria
La vulnerabilidad más delicada del boletín es CVE-2026-20805, un 0‑day con puntuación CVSS 8,1 que afecta a Desktop Window Manager (DWM), componente clave de la interfaz gráfica de Windows. El fallo permite a un atacante con acceso local leer contenido de memoria asociado a un puerto ALPC remoto.
La explotación de CVE-2026-20805 no requiere permisos elevados ni interacción del usuario, lo que la convierte en una herramienta muy atractiva para actores avanzados. Aunque se clasifica como divulgación de información, en la práctica se trata de una fuga de memoria de alto valor, capaz de exponer direcciones y estructuras internas necesarias para eludir defensas modernas como ASLR (Address Space Layout Randomization).
Por qué las fugas de memoria son críticas en la explotación moderna
Microsoft indica que un usuario local autenticado puede acceder a datos que deberían permanecer protegidos. De acuerdo con análisis de iniciativas como Trend Micro Zero Day Initiative, CVE-2026-20805 se estaría utilizando en ataques dirigidos como parte de cadenas de explotación más complejas: primero se mapea la memoria del proceso objetivo y, una vez obtenida esa información, se lanzan exploits RCE con una tasa de éxito y estabilidad mucho mayor.
Este caso confirma una tendencia conocida en ciberseguridad: las vulnerabilidades de divulgación de información pueden ser tan peligrosas como un RCE directo, porque convierten en fiables ataques que, sin ese conocimiento previo, serían mucho más difíciles de llevar a cabo.
CVE-2026-21265: riesgo para Secure Boot por certificados UEFI de Windows
El segundo 0‑day, CVE-2026-21265, no está vinculado a un fallo de código tradicional, sino a la infraestructura de confianza de Secure Boot. El problema se relaciona con el vencimiento progresivo de certificados de Windows Secure Boot emitidos en 2011, que podrían ser abusados para eludir los controles de arranque seguro si no se gestionan adecuadamente.
Certificados Secure Boot afectados y riesgo para el arranque seguro
Entre los certificados en riesgo destacan: Microsoft Corporation KEK CA 2011 (caduca el 24 de junio de 2026), Microsoft Corporation UEFI CA 2011 (27 de junio de 2026) y Microsoft Windows Production PCA 2011 (19 de octubre de 2026). Los parches de enero actualizan la cadena de confianza y la forma en que estos certificados son tratados, con el objetivo de mantener la integridad de Secure Boot y la validación de cargadores y firmware.
Para organizaciones con políticas personalizadas de Secure Boot o gestión centralizada de dispositivos, aplicar estas actualizaciones con rapidez es fundamental. De no hacerlo, atacantes con acceso al entorno podrían intentar aprovechar certificados obsoletos para cargar bootloaders manipulados o módulos maliciosos en las fases iniciales del arranque, donde la visibilidad y la capacidad de detección suelen ser menores.
CVE-2023-31096: drivers Agere Soft Modem como vector de escalada de privilegios
El tercer 0‑day, CVE-2023-31096, afecta a drivers de terceros Agere Soft Modem incluidos históricamente en versiones soportadas de Windows. Microsoft ya había alertado en 2025 de que estos controladores estaban siendo utilizados en entornos comprometidos para obtener privilegios de administrador, aprovechando el alto nivel de acceso que tienen los drivers en modo kernel.
Con el paquete acumulativo de enero de 2026, los controladores vulnerables agrsm64.sys y agrsm.sys se eliminan por completo del sistema. Esta decisión ilustra un enfoque más estricto hacia el ecosistema de controladores: ante componentes antiguos y de riesgo, Microsoft prioriza la seguridad incluso si ello afecta a hardware legado o poco utilizado. Para muchas organizaciones, el inventario y saneamiento de drivers se está convirtiendo en un pilar clave de la gestión de superficies de ataque.
Recomendaciones de ciberseguridad para empresas y usuarios de Windows
Dada la amplitud de este Patch Tuesday y la presencia de vulnerabilidades 0‑day activamente explotadas, la priorización de los parches de enero de 2026 debe ser máxima. A nivel corporativo, se recomienda:
- Desplegar las actualizaciones de seguridad de Microsoft en una entorno de pruebas controlado y, tras su validación, extenderlas de forma escalonada a los sistemas en producción.
- Dar prioridad a servidores críticos, estaciones con acceso a datos sensibles y equipos que gestionen procesos de negocio esenciales.
- Revisar la política de gestión de drivers, eliminando controladores obsoletos o sin soporte y reforzando las listas de drivers permitidos.
- Verificar la configuración y el estado de Secure Boot, aplicando las últimas actualizaciones de firmware (UEFI) y del sistema operativo.
- Complementar los parches con monitorización continua, soluciones EDR y formación en seguridad para reducir el impacto de phishing y otras técnicas de acceso inicial.
Para usuarios domésticos, retrasar la instalación de estas actualizaciones supone aumentar su exposición. Vulnerabilidades como CVE-2026-20805 suelen integrarse con rapidez en kits de exploits distribuidos mediante correos de phishing, documentos maliciosos o sitios web comprometidos. Mantener Windows y Office actualizados, evitar software no autorizado y combinar las defensas integradas de Microsoft con soluciones de seguridad adicionales son medidas sencillas que reducen significativamente el riesgo.
La oleada de parches de enero de 2026 subraya que no sólo las RCE “visibles” importan: fugas de memoria, problemas de certificados o drivers heredados pueden convertirse en el eslabón más débil de la cadena. En un entorno donde las infraestructuras son cada vez más complejas, resulta esencial adoptar un enfoque sistemático de gestión de parches y riesgos: inventariar activos, controlar drivers, seguir de cerca los boletines de seguridad y aplicar actualizaciones de forma ágil. Convertir estas prácticas en rutina diaria es uno de los pasos más efectivos para reforzar la resiliencia frente a las amenazas actuales y futuras.
